VietNetwork.Vn

Hôm thứ Tư, Cisco cho biết họ đã phát hành bản cập nhật để giải quyết lỗ hổng bảo mật đang bị khai thác tích cực trong Adaptive Security Appliance (ASA) có thể dẫn đến tình trạng từ chối dịch vụ (DoS).

Lỗ hổng bảo mật được theo dõi là CVE-2024-20481 (điểm CVSS: 5,8), ảnh hưởng đến dịch vụ VPN truy cập từ xa (RAVPN) của Cisco ASA và Phần mềm Cisco Firepower Threat Defense (FTD).


Do cạn kiệt tài nguyên, lỗ hổng bảo mật này có thể bị kẻ tấn công từ xa chưa xác thực khai thác để gây ra tấn công DoS cho dịch vụ RAVPN.

"Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một số lượng lớn yêu cầu xác thực VPN đến một thiết bị bị ảnh hưởng", Cisco cho biết trong một thông báo. "Một khai thác thành công có thể cho phép kẻ tấn công làm cạn kiệt tài nguyên, dẫn đến DoS của dịch vụ RAVPN trên thiết bị bị ảnh hưởng".
An ninh mạng

Công ty thiết bị mạng cho biết thêm rằng việc khôi phục dịch vụ RAVPN có thể yêu cầu tải lại thiết bị tùy thuộc vào tác động của cuộc tấn công.

Mặc dù không có giải pháp trực tiếp nào để giải quyết CVE-2024-20481, Cisco cho biết khách hàng có thể làm theo các khuyến nghị để chống lại các cuộc tấn công rải mật khẩu -

• Cho phép ghi nhật ký
• Cấu hình phát hiện mối đe dọa cho các dịch vụ VPN truy cập từ xa
• Áp dụng các biện pháp tăng cường như vô hiệu hóa xác thực AAA và
• Chặn thủ công các nỗ lực kết nối từ các nguồn trái phép

Điều đáng chú ý là lỗ hổng này đã được kẻ tấn công sử dụng với mục đích xấu như một phần của chiến dịch tấn công bằng vũ lực quy mô lớn nhắm vào các dịch vụ VPN và SSH.

Đầu tháng 4 này, Cisco Talos đã báo cáo sự gia tăng đột biến các cuộc tấn công bằng phương pháp brute-force vào các dịch vụ Mạng riêng ảo (VPN), giao diện xác thực ứng dụng web và dịch vụ SSH kể từ ngày 18 tháng 3 năm 2024.

Các cuộc tấn công này nhắm vào nhiều thiết bị từ nhiều công ty khác nhau, bao gồm Cisco, Check Point, Fortinet, SonicWall, MikroTik, Draytek và Ubiquiti.

"Các nỗ lực tấn công bằng brute-force sử dụng tên người dùng chung và tên người dùng hợp lệ cho các tổ chức cụ thể", Talos lưu ý vào thời điểm đó. "Tất cả các cuộc tấn công này dường như đều bắt nguồn từ các nút thoát TOR và một loạt các đường hầm và proxy ẩn danh khác".

Cisco cũng đã phát hành các bản vá để khắc phục ba lỗ hổng nghiêm trọng khác trong Phần mềm FTD, Phần mềm Trung tâm quản lý tường lửa an toàn (FMC) và Thiết bị bảo mật thích ứng (ASA) -

• CVE-2024-20412 (Điểm CVSS: 9,3) - Lỗ hổng bảo mật tồn tại trong phần mềm FTD dành cho Cisco Firepower Series 1000, 2100, 3100 và 4200, cho phép kẻ tấn công cục bộ chưa xác thực truy cập vào hệ thống bị ảnh hưởng bằng thông tin xác thực tĩnh
• CVE-2024-20424 (Điểm CVSS: 9,9) - Lỗ hổng xác thực đầu vào không đủ của yêu cầu HTTP trong giao diện quản lý dựa trên web của FMC Software có thể cho phép kẻ tấn công từ xa đã xác thực thực thi các lệnh tùy ý trên hệ điều hành cơ bản với tư cách là root
• CVE-2024-20329 (Điểm CVSS: 9,9) - Lỗ hổng xác thực đầu vào của người dùng không đủ trong hệ thống con SSH của ASA có thể cho phép kẻ tấn công từ xa đã xác thực thực thi các lệnh hệ điều hành với tư cách là root

Khi các lỗ hổng bảo mật trong thiết bị mạng đang trở thành tâm điểm khai thác của các tổ chức quốc gia, điều quan trọng là người dùng phải nhanh chóng áp dụng các bản sửa lỗi mới nhất.